剣 KENSAI
← All posts · security · 2026-03-07 · 8 min

Informe Google Zero-Day 2025: 90 vulnerabilidades explotadas, aumenta el ataque a empresas

El análisis anual de zero-days del Google Threat Intelligence Group revela 90 vulnerabilidades explotadas en estado salvaje durante 2025 — casi la mitad dirigidas a productos de seguridad empresarial, dispositivos de red e infraestructura cloud. Los proveedores de spyware y los APT vinculados a China dominan la atribución. Mientras tanto, una brecha de datos sanitarios que afecta a 3,4 millones de pacientes y nuevas campañas de malware sin archivos demuestran por qué el escaneo continuo de vulnerabilidades ya no es opcional.


📊 Panorama de Zero-Days 2025 según Google: cifras clave

💡 Seguimiento anual de Zero-Days por GTIG

El Google Threat Intelligence Group (GTIG) rastrea cada año las vulnerabilidades zero-day explotadas en estado salvaje. El informe de 2025 marca uno de los años más altos registrados, con 90 zero-days confirmados explotados — frente a 73 en 2024 y acercándose al pico de 97 de 2021.

El giro hacia las empresas

El hallazgo más significativo: aproximadamente 45 de los 90 zero-days (50 %) se dirigieron directamente a productos empresariales en lugar de endpoints de consumo. Esto representa un cambio dramático respecto a años anteriores, cuando los navegadores y los sistemas operativos móviles dominaban el panorama de explotación de zero-days.

Categoría Zero-Days (2025) Porcentaje Tendencia vs 2024
Productos de seguridad empresarial ~20 22 % 🔺 Aumento significativo
Dispositivos de red/VPN ~15 17 % 🔺 En aumento
Plataformas Cloud/SaaS ~10 11 % 🔺 En aumento
SO móviles (iOS/Android) ~18 20 % 🔻 En descenso
Navegadores ~12 13 % 🔻 En descenso
SO de escritorio ~15 17 % ➡️ Estable

Atribución: ¿Quién explota los Zero-Days?

Menos de la mitad de los 90 zero-days pudieron atribuirse a actores de amenazas específicos, pero los grupos principales dibujan un panorama claro:

⚠️ Principales explotadores de Zero-Days en 2025

1. Proveedores comerciales de spyware — NSO Group, Intellexa y nuevos participantes continúan dominando la explotación de zero-days, representando aproximadamente el 30 % de los zero-days atribuidos.
2. Grupos APT vinculados a China — Múltiples grupos chinos respaldados por el estado (Salt Typhoon, Volt Typhoon, APT41) explotaron zero-days enfocados en empresas, dirigiéndose a equipos de red y plataformas cloud.
3. Grupos vinculados a Rusia — Enfocados principalmente en objetivos ucranianos y europeos utilizando zero-days en productos Microsoft.
4. Corea del Norte — Cada vez más sofisticada, atacando plataformas de criptomonedas y herramientas de desarrollo.

Por qué los productos empresariales son ahora el objetivo principal

Varios factores explican el giro hacia el ataque a empresas:


🏥 Brecha de datos de TriZetto: 3,4 millones de pacientes expuestos

⚠️ Exposición masiva de datos sanitarios

TriZetto Provider Solutions (filial de Cognizant) ha revelado una brecha de datos que afecta a 3.433.965 individuos. Los atacantes tuvieron acceso no autorizado durante casi un año — desde noviembre de 2024 hasta octubre de 2025.

Cronología de la brecha

Fecha Evento
19 de noviembre de 2024 Comienza el acceso no autorizado
2 de octubre de 2025 Se detecta actividad sospechosa
9 de diciembre de 2025 Se notifica a los proveedores afectados
Febrero de 2026 Comienzan las notificaciones a los clientes
6 de marzo de 2026 La declaración ante el fiscal general de Maine confirma 3,4 M de afectados

Tipos de datos expuestos

El tiempo de permanencia de 317 días (desde el acceso inicial hasta la detección) es particularmente alarmante y subraya la necesidad de monitorización continua y detección automatizada de amenazas. Cognizant ya había sido objeto de escrutinio tras el incidente del ransomware Maze en 2020 y una brecha relacionada con Scattered Spider a través de su mesa de ayuda.


🦠 VOID#GEIST: campaña de malware sin archivos multietapa

⚠️ Cadena de ataque sin archivos avanzada

Los investigadores de Securonix han documentado VOID#GEIST, una sofisticada campaña de malware multietapa que distribuye XWorm, AsyncRAT y Xeno RAT mediante técnicas de ejecución sin archivos.

Desglose de la cadena de ataque

  1. Acceso inicial — Script batch descargado de un dominio TryCloudflare mediante correo electrónico de phishing
  2. Señuelo visual — Chrome abre un PDF financiero falso a pantalla completa como distracción visual
  3. Ejecución oculta — PowerShell reejecutar el script batch con -WindowStyle Hidden
  4. Persistencia — Colocación en el directorio de inicio (sin modificaciones del registro, sin escalada de privilegios)
  5. Descarga del payload — Se descargan archivos ZIP que contienen shellcode cifrado y un cargador Python
  6. Ejecución en memoria — El runtime de Python descifra e inyecta shellcode mediante inyección Early Bird APC en explorer.exe

💡 Por qué esto es importante

La campaña VOID#GEIST representa un cambio más amplio en la industria, de ejecutables independientes hacia marcos de distribución modulares basados en scripts. Cada etapa parece inofensiva de forma aislada, imitando actividad administrativa legítima. El uso de un runtime Python legítimo embebido de python.org elimina dependencias y evade las listas de aplicaciones permitidas.

Payloads distribuidos

RAT Capacidades Archivo cifrado
XWorm Acceso remoto completo, keylogging, captura de pantalla, persistencia new.bin
AsyncRAT Comunicación C2 asíncrona, extensibilidad mediante plugins, robo de credenciales pul.bin
Xeno RAT RAT de código abierto con HVNC, acceso a micrófono/webcam xn.bin

🌐 Cisco SD-WAN y Rockwell ICS: más exploits activos

Cisco Catalyst SD-WAN

Cisco ha confirmado que dos vulnerabilidades de Catalyst SD-WAN recientemente parcheadas — CVE-2026-20128 y CVE-2026-20122 — están siendo activamente explotadas en estado salvaje. Las organizaciones que ejecutan configuraciones SD-WAN afectadas deben aplicar los parches inmediatamente o implementar las soluciones alternativas recomendadas.

Vulnerabilidad Rockwell Automation ICS

Una vulnerabilidad de Rockwell Automation originalmente divulgada y mitigada en 2021 ha sido confirmada como activamente explotada en ataques dirigidos a sistemas de control industrial. Esto pone de relieve un desafío persistente en entornos OT/ICS: incluso cuando existen parches, a menudo no se aplican debido a restricciones operativas y preocupaciones por tiempos de inactividad.

⚠️ Riesgo ICS/OT

Si su organización utiliza controladores lógicos programables (PLC) de Rockwell, verifique el estado de los parches inmediatamente. La explotación remota de sistemas ICS puede provocar manipulación de procesos físicos, evasión de sistemas de seguridad e interrupción operativa.


🔒 Cierre del foro LeakBase — 142.000 usuarios

En un hecho positivo, el foro de cibercrimen LeakBase ha sido cerrado por las fuerzas del orden, con sospechosos detenidos. El mercado de credenciales robadas había estado activo desde 2021 y albergaba 142.000 usuarios registrados que comerciaban con credenciales comprometidas, datos personales y bases de datos de brechas.

Si bien los cierres proporcionan una interrupción temporal, la experiencia demuestra que los usuarios desplazados típicamente migran a foros alternativos en cuestión de semanas. Las organizaciones deberían aprovechar esta ventana para:


🛡️ Acciones recomendadas

Para equipos de seguridad empresarial

  1. Priorizar el parcheo de productos empresariales — Los dispositivos VPN, firewalls y productos de seguridad son ahora los principales objetivos de zero-days
  2. Desplegar escaneo automatizado continuo — Las evaluaciones manuales de vulnerabilidades no pueden seguir el ritmo de más de 90 zero-days anuales
  3. Monitorizar patrones de ejecución sin archivos — Busque ventanas PowerShell ocultas, descargas de runtime Python y firmas de inyección APC
  4. Reducir el tiempo de permanencia — Los 317 días de permanencia en la brecha de TriZetto muestran el coste de la detección tardía
  5. Parchear sistemas ICS/OT — Vulnerabilidades antiguas en Rockwell y sistemas similares están siendo activamente explotadas años después de su divulgación

Para organizaciones sanitarias

  1. Auditar la seguridad de portales web — La brecha de TriZetto se originó a través de un portal web que gestionaba datos de elegibilidad de seguros
  2. Implementar segmentación de red — Limitar el radio de impacto de cualquier compromiso individual
  3. Desplegar analítica de comportamiento — Detectar patrones de acceso no autorizados, especialmente para bases de datos que contienen información de salud protegida (PHI)
  4. Revisar la seguridad de proveedores terceros — La postura de seguridad de su proveedor es su postura de seguridad